Transcript Document

Tomek Onyszko
Microsoft Services | W2K.PL
Nowe elementy \ funkcjonalność
Offline Domain
Join (ODJ)
Best Practices
Analyzer (BPA)
Web Services
(ADWS)
Authentication
Mechanism
Assurance (AMA)
Administrative
Center (ADAC)
Managed Service
Accounts (MSA)
Powershell for
Active Directory
Module
Recycle Bin
Na początek – architektura …
K
l
i
e
n
t
S
e
r
w
e
r
GUI
ADUC/ADSS/ADDT
MMC
Administrative Center
ADSI AD PowerShell
DS RPC-Based Protocols …
SAM
WSH
BPA
GUI
CLI
DRS
MUX
.NET
.NET
LDAP WCF
…
WPF
WCF
Web Services
.NET
DS RPC-Based Protocols
SAM
DRS
S.DS.P / S.DS.AM / S.DS.AD
LDAP
…
Active Directory Core
.NET
… a teraz - funkcjonalność
Offline Domain
Join (ODJ)
Best Practices
Analyzer (BPA)
Web Services
(ADWS)
Authentication
Mechanism
Assurance (AMA)
Administrative
Center (ADAC)
Managed Service
Accounts (MSA)
Powershell for
Active Directory
Module
Recycle Bin
Offline Domain Join (ODJ)
Po co to?
Pozwala na pełne dodanie klienta do domeny bez kontaktu z
kontrolerem domeny
Zalety
Możliwość aplikacji na VHD
Maszyna dołączana do sieci nie musi posiadać połączenia
sieciowego
Jednak jeżeli nie ma cached credentials na stacji połączenie może się
przydać 
Wymagania
BRAK zależności od poziomu lasu \ domeny
NIE WYMAGA kontrolera domeny 2008 R2
WYMAGA klienta Windows 7 lub Windows Server 2008 R2
ODJ – jak to działa?
Polecenie DJOIN.exe przejmuje poświadczenia
potrzebne do wykonania operacji i tworzy “plik”
”plik” zawiera
Informacje o maszynie
Nazwę, hasło
Informacje o docelowej domenie
Nazwa, GUID, SID
Informacje o lesie
Nazwę
Informację o pomocniczym DC
Nazwę, adres, informację o lokacji
ODJ – co należy pamiętać
Tworzony jest jeden plik dla maszyny
NIE MOGĄ być użyte ponownie
Zawartość “pliku” nie jest szyfrowana (base64)
Zawiera hasło w zasadzie w czystym tekście
Należy je chronić przed przejęciem
Wygenerowane pliki nie mają czasu życia
ODJ – jak to zrobić?
1.
2.
3.
Zainstalować nową maszynę Win 7 lub R2
Zamknąć system operacyjny nowej maszyny, uzyskać dostęp do jej
dysku
Na innej maszynie dołączonej do domeny wykonać polecenie (z
odpowiednimi uprawnieniami) –
djoin /provision /domain <docelowa domena>
/machine <nazwa nowej maszyny> /savefile <nazwa pliku>
djoin /requestODJ /loadfile <nazwa pliku>
/windowspath <folderu %windir% na nowym systemie >
4.
Włączyć system operacyjny nowego klienta
Offline Domain
Join (ODJ)
Best Practices
Analyzer (BPA)
Web Services
(ADWS)
Authentication
Mechanism
Assurance (AMA)
Administrative
Center (ADAC)
Managed Service
Accounts (MSA)
Powershell for
Active Directory
Module
Recycle Bin
AD Web Services (ADWS)
Co to?
Web Services nasłuchująca na porcie TCP/9389
Dostępna dla usługi katalogowej (DS) i Lightweight Directory Services (LDS)
Zbudowana w oparciu o protokoły WS-* i WCF
WS-Enum, WS-Transfer, IMDA
Podstawa dla przyszłych interfejsów programistycznych
Do zapamiętania
Uzupełnienie interfejsów LDAP i RPC dla zarządzania
Wykrywana przez klienta poprzez proces lokatora – LDAP Ping
(skalowanie)
Nie wymaga instalacji IIS na DC
ADWS
Wymagania
Kontroler domeny Windows Server 2008 R2 Domain Controller lub
instancja AD LDS
Wsparcie dla Windows Server 2003 i 2008
Active Directory Management Gateway
(ADMG) -
uaktualnienie OOB
Musi działać lokalnie na DC lub instancji LDS
Wymagane wdrożenie na odpowiedniej liczbie DC
Wymagane na DC dla każdego NC zarządzanego przez mechanizmy
ADWS
Offline Domain
Join (ODJ)
Best Practices
Analyzer (BPA)
Web Services
(ADWS)
Authentication
Mechanism
Assurance (AMA)
Administrative
Center (ADAC)
Managed Service
Accounts (MSA)
Powershell for
Active Directory
Module
Recycle Bin
Moduł PowerShell
Co to?
PowerShell for Active Directory Module to zestaw poleceń
PowerShell przeznaczonych do zarządzania AD i AD LDS
Interfejs administracyjny, dostęp do konfiguracji i do zapytań
Po co?
Podstawa pod przyszłe mechanizmy zarządzania katalogiem
De-facto standard zarządzania w środowisku Windows Server
Wymagania
Windows 7 lub Windows Server 2008 R2
PowerShell 2.0
ADWS (lub ADMG) na zarządzanym DC(s)
Cmdlet’y z modułu nie używają LDAP
PowerShell dla AD
Instalowany poprzez
Server Manager / Windows Server 2008 R2’s DCpromo
Remote Server Admin Tools dla Windows 7 client (RSAT)
Moduł rozszerzający PowerShell
PS C:\> import-module ActiveDirectory
PS C:\> Get-Command -module ActiveDirectory
~90 cmdlet dla AD i AD LDS
PowerShell Provider dla Active Directory
demo
Moduł PowerShell dla
Active Directory
Offline Domain
Join (ODJ)
Best Practices
Analyzer (BPA)
Web Services
(ADWS)
Authentication
Mechanism
Assurance (AMA)
Administrative
Center (ADAC)
Managed Service
Accounts (MSA)
Powershell for
Active Directory
Module
Recycle Bin
Best Practice Analyzer (BPA)
Co to?
Analizuję konfiguracje usługi i wskazuje odstępstwa od best
practices
Wskazuje rozwiązania problemów
Nie wykonuje modyfikacji \ akcji naprawczych samodzielnie
Jak?
Skan uruchamiany poprzez Server Manager lub PowerShell
Loklanie lub zdalnie
Skanowanie manualny (task scheduler)
Skan wykonywany lokalnie na DC 
Nie skanuje całego środowiska katalogu
Wymaga Windows 2008 R2 (tylko R2 !!!)
Kwartalne uaktualnienia dla BPA dostępne będą przez Windows
Update
BPA – uruchomienie skanu
… Server Manager
… PowerShell
Import-Module BestPractices
Invoke-BPAmodel Microsoft\Windows\DirectoryServices
Get-BPAresult Microsoft\Windows\DirectoryServices
BPA – co jest sprawdzane (RTM)
DNS
Rejestracja i rozwiązanie
rekordów A/AAAA
Disaster Recovery
Ilość DC \ domena
Czas życia kopii
zapasowych
Replication
Co najmniej 1 GC \ site
Stan KCC
Informacje dla VMs
Topologia
Rozmieszczenie i dostępność DC
z rolami FSMO
Lingering Objects
Stan Strict Replication
Consistency
Time service
PDC time source
Wartości graniczne
Max[POS|NEG]PhaseCorrection
demo
Best Practices Analyzer
Offline Domain
Join (ODJ)
Best Practices
Analyzer (BPA)
Web Services
(ADWS)
Authentication
Mechanism
Assurance (AMA)
Administrative
Center (ADAC)
Managed Service
Accounts (MSA)
Powershell for
Active Directory
Module
Recycle Bin
Recycle Bin
Co to?
Pozwala na odzyskanie skasowanego obiektu w jego oryginalnym
kształcie z wszystkimi wartościami
Główna zaleta – linki pozostają nienaruszone po skasowaniu
obiektu
Dodatkowy stan linku \ kolumna w bazie danych
(link_deActiveTime)
Po co?
Pełna możliwość odzyskania obiektu bez użycia kopii zapasowej
Wyeliminowanie obiektów tombstone z procesu odtworzenia
Wymagania
Poziom lasu 4
(WIN2008R2)
Zmiana procesu usuwania fantomów w danych
Włączenie funkcjonalności w katalogu
Żywot Briana (jako obiektu)
Windows Server 2008
- bez Recycle Bin
Windows Server 2008
- z włączonym Recycle Bin
Skasowanie
Brian
Skasowanie
Brian
Deleted
Object
Recycled
Object
Auth Restore/
Odzyskanie
Odzyskanie
Garbage
Collection
Tombstone
Object
Deleted Object
Lifetime
180 dni
Garbage
Collection
Tombstone
Lifetime
180 dni
Recycled (Tombstone) Object
Lifetime
180 dni
Żywot Briana c.d.
180 dni
Windows Server 2008
Brian
Tombstone Object
Garbage collection
Zwraca Tombstones
LDAP OID 1.2.840.113556.1.4.417
Zwraca Deleted
Windows Server 2008 R2
- z włączonym Recycle Bin
Brian
Deleted Object
180 Days
LDAP OID 1.2.840.113556.1.4.2064
Zwraca Deleted i Recycled
Recycled Object
180 Days
Garbage collection
Recycle Bin – trzeba wiedzieć
Wpływ na DIT
Pierwszy DC generuje ruch replikacyjny
isRecycled = True dla wszystkich skasowanych obiektów
Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia
Dostępy jako dodatkowa funkcja
Pierwsza (jak dotąd jedyna) implementacja optional feature
Włączana poprzez modyfikację atrybutu katalogu (Powershell lub
LDAP)
Enable-ADOptionalFeature
‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet
–Target {docelowy DC lub instancja LDS}
Zmiany w katalogu
Po ustawienia isRecycled, blokowane jest odzyskanie tombstone
Możliwe poprzez dodatkową opcje NTDSUTIL.EXE
Optional features
CN=Optional Features,
CN=Directory Service,
CN=Windows NT,
CN=Services,
CN=Configuration,
DC=W2K,DC=PL
msDS-EnabledFeature
CN=Partitions,
CN=Configuration,
DC=W2K,DC=PL
Recycle Bin
objectClass: msDS-OptionalFeature
msDS-OptionalFeatureFlags:
FOREST_OPTIONAL_FEATURE
msDS-OptionalFeatureGuid: 766ddcd8acd0-445e-f3b9-a7f9b6744f2a
msDS-RequiredForestBehaviorVersion:
DS_BEHAVIOR_WIN7
msDS-EnabledFeatureBL
Recycle bin – warto wiedzieć
Czas życia obiektów:
Atrybuty CN=Directory Services,cn=Windows NT…
msDS-DeletedObjectLifetime (DOL)
tombstoneLifetime (TSL, ROL)
Domyślnie DOL == ROL == 180 dni
Każdy z nich może mieć inną wartość
Czas życia kopii zapasowych
MIN (DOL, ROL)
Dotyczny kopii zapasowych i IFM
Nie wolno odzyskiwać obiektów w stanie RECYCLED
Recycle Bin – odtwarzanie
OU=Finanse
OU=Finanse
Brak GUI
PowerShell lub LDAP
Deleted Objects
Płaska lista obiektów
Zmieniony RDN (<RDN>+DEL:+CHAR(0A))
Zachowane wszystkie atrybuty (linki)
CN=Tom
Delete
CN=Sally
OU=Admins
CN=Mark
CN=Deleted Objects
Wypełnione lastKnownParent and lastKnownRDN
CN=Robert\0ADEL:…
Obiekt MUSI być odtwarzany do
istniejącego rodzica
Odtworzenie obiektów top-down
CN=Mark\0ADEL:…
CN=Tom\0ADEL:…
CN=Sally\0ADEL:…
OU=Admins\0ADEL:…
OU=Finanse\0ADEL:...
demo
Recycle Bin
Offline Domain
Join (ODJ)
Best Practices
Analyzer (BPA)
Web Services
(ADWS)
Authentication
Mechanism
Assurance (AMA)
Administrative
Center (ADAC)
Managed Service
Accounts (MSAs)
Powershell for
Active Directory
Module
Recycle Bin
Managed Service Accounts (MSA)
Co to?
Nowa klasa podmiotów bezpieczeństwa (security principal)
Przewidziana do użycia przez usługi
Zastępstwo dla standardowych kont serwisowych
Dostarczają mechanizmów automatycznego zarządzania hasłami
Do zapamiętania
Można używać tylko jednego MSA per usługa \ serwer
Nie można współdzielić jednego MSA na różnych maszynach
Wymaga Windows 7 lub Windows 2008 R2
MSA – zarządzanie hasłami
Hasła MSA
Generowane przez system operacyjny
Skomplikowane hasła z dużą entropią
Długość hasła: 240 bajtów
Zmieniane zgodnie z ustawieniem NETLOGON
MaximumPasswordAge
Zarządzanie manualne hasłem
PS C:\> reset-ADServiceAccountPassword <MSA>
PS C:\> nltest /sc_change_pwd:<SAMAcctName>
Hasła MSA
Nie podlegają domenowej polityce haseł
Nie podlegają mechanizmom FGPP
MSA – krótka ściąga
1.
Utworzenie MSA
PS C:\> New-ADServiceAccount –Name {nazwa} –Path {ścieżka w DS}
2.
Przypisanie MSA do serwera
Add-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA}
3.
Instalacja MSA na lokalnym systemie
Install-ADServiceAccount –Identity {MSA}
Podsumowując
Windows 2008 R2 to …
… ewolucja a nie rewolucja
Nowe funkcje
Nowe mechanizmy zarządzania
PowerShell
AD AC, BPA
… zmiany będące podstawą dla dalszego
rozwoju usługi
AD Web Service
Optional features
Funkcjonalność a wymagania
Minimalne wymaganie …
... pozwalające na użycie
Windows 7 lub Windows 2008 R2 jako
klient
Offline Domain Join
Managed Service Accounts
+ jedna lub więcej instancji Web
Active Directory Administrative Center
Moduł PowerShell dla Active Directory
Services (również ADMG)
+ jeden lub więcej kontroler domeny
Windows Server 2008 R2
+ Windows Server 2008 R2 Domain
Functional Level
+ Windows Server 2008 R2 Forest
Functional Level
Best Practices Analyzer
Synchronizacja hasła DSRM
Authentication Mechanism Assurance
Recycle Bin
Pytania …
… i ewentualnie odpowiedzi
Dziękuję !!!
Kontakt:
[email protected]
http://www.w2k.pl